Zabezpieczanie infrastruktury za pomocą Zero Trust

Infrastruktura reprezentuje wektor zagrożenia krytycznego. Infrastruktura IT, zarówno lokalna, jak i wielochmurowa, jest definiowana jako cały sprzęt (fizyczny, wirtualny, konteneryzowany), oprogramowanie (open source, firmy pierwszej i trzeciej, PaaS, SaaS), mikro-usługi (funkcje, interfejsy API), infrastruktura sieciowa, obiekty itp., które są wymagane do opracowywania, testowania, dostarczania, monitorowania, kontrolowania lub obsługi usług informatycznych. Jest to obszar, w którym firma Microsoft zainwestowała ogromne zasoby, aby opracować kompleksowy zestaw możliwości w celu zabezpieczenia przyszłej infrastruktury chmurowej i lokalnej.

Nowoczesne zabezpieczenia dzięki kompleksowej strategii Zero Trust ułatwiają:

  • Oceń wersję.
  • Zarządzanie konfiguracją.
  • Korzystaj z uprawnień administracyjnych just-in-time i just-enough-access (JIT/JEA), aby wzmocnić obronę.
  • Używaj telemetrii do wykrywania ataków i anomalie.
  • Automatycznie blokuj i oflaguj ryzykowne zachowanie oraz podejmuj działania ochronne.

Co równie ważne, Microsoft Azure plany i powiązane funkcje zapewniają, że zasoby są projektowane, implementowane i podtrzymywane w sposób zgodny z zasadami, standardami i wymaganiami organizacji.

Plany platformy Azure, zasady platformy Azure, Microsoft Defender dla Chmury, Microsoft Sentinel i Azure Sphere mogą w dużym stopniu przyczynić się do poprawy bezpieczeństwa wdrożonej infrastruktury i umożliwić inne podejście do definiowania, projektowania, inicjowania obsługi administracyjnej, wdrażania i monitorowania infrastruktury.

A repeating circular diagram of 5 elements: Assess compliance, Observe gaps, Author, Test, and Deploy.

Cele wdrożenia Zero Trust infrastruktury

Wskazówka

Zanim większość organizacji rozpocznie Zero Trust podróż, ich podejście do bezpieczeństwa infrastruktury charakteryzuje się następującymi cechami:

  • Uprawnieniami zarządza się ręcznie w różnych środowiskach.
  • Zarządzanie konfiguracją maszyn wirtualnych i serwerów, na których są uruchomione obciążenia pracą.

Podczas wdrażania kompleksowej struktury Zero Trust do zarządzania infrastrukturą i monitorowania jej zalecamy skoncentrowanie się przede wszystkim na następujących początkowych celach wdrażania:

List icon with one checkmark.

I.Workloads are monitored and alerted to abnormal behavior.

II.Do każdego obciążenia pracą przypisywana jest tożsamość aplikacji, która jest konfigurowana i wdrażana spójnie.

III.Dostęp człowieka do zasobów wymaga just-in-time.

Po ich ukończeniu skoncentruj się na następujących dodatkowych celach wdrożenia:

List icon with two checkmarks.

IV.Nieautoryzowane wdrożenia są blokowane i są wyzwalane alerty.

V.Granular widoczność i kontrola dostępu są dostępne dla różnych obciążeń.

VI.Dostęp użytkowników i zasobów podzielony na segmenty dla każdego obciążenia pracą.

Przewodnik po wdrażaniu infrastruktury Zero Trust

Ten przewodnik przeprowadzi Cię przez kroki wymagane do zabezpieczenia infrastruktury zgodnie z zasadami Zero Trust struktury zabezpieczeń.

Przed rozpoczęciem upewnij się, że osiągnięto te podstawowe cele wdrożenia infrastruktury.

Ustawianie planu bazowego dzierżawy firmy Microsoft

Dla sposobu zarządzania infrastrukturą należy określić priorytetowy plan bazowy. Korzystając ze wskazówek branżowych, takich jak NIST 800-53, możesz określić zestaw wymagań dotyczących zarządzania infrastrukturą. W firmie Microsoft ustawiliśmy minimalny plan bazowy na następującą listę wymagań:

  • Dostęp do danych, sieci, usług, narzędzi, narzędzi i aplikacji musi być kontrolowany za pomocą mechanizmów uwierzytelniania i autoryzacji.

  • Dane muszą być szyfrowane podczas przesyłania i w spoczynku.

  • Ograniczanie przepływów ruchu sieciowych.

  • Wgląd zespołu zabezpieczeń we wszystkie zasoby.

  • Monitorowanie i inspekcja muszą być włączone i prawidłowo skonfigurowane zgodnie z przepisami wytycznych organizacyjnych.

  • Ochrona przed złośliwym oprogramowaniem musi być aktualna i uruchomiona.

  • Należy wykonać skanowanie luk w zabezpieczeniach i usunąć luki w zabezpieczeniach zgodnie z przepisami wytycznymi organizacyjnymi.

Aby mierzyć i zwiększać zgodność z tym minimalnym — lub rozszerzonym — planem bazowym, zaczynamy od uzyskania widoczności na poziomie dzierżawy i w środowiskach lokalnych, stosując rolę czytnika zabezpieczeń w dzierżawie platformy Azure. Dzięki roli czytnika zabezpieczeń w miejscu może ona uzyskać dodatkową widoczność dzięki zasadom Microsoft Defender dla Chmury i Azure, które mogą być używane do stosowania planów bazowych branży (np. Azure CIS, PCI, ISO 27001) lub niestandardowego planu bazowego zdefiniowanego przez Organizację.

Uprawnieniami zarządza się ręcznie w różnych środowiskach

Od poziomu dzierżawy do poszczególnych zasobów w ramach subskrypcji reklamowej grupy zasobów należy zastosować odpowiednie kontrolki dostępu oparte na rolach.

Zarządzanie konfiguracją maszyn wirtualnych i serwerów, na których są uruchomione obciążenia pracą

Tak jak zarządzaliśmy środowiskiem naszych lokalnych centrów danych, musimy również zapewnić efektywne zarządzanie zasobami w chmurze. Zaletą korzystania z platformy Azure jest możliwość zarządzania wszystkimi maszynami wirtualnymi z jednej platformy przy użyciu usługi Azure Arc (wersja zapoznawcza). Za pomocą usługi Azure Arc możesz rozszerzyć swoje plany bazowe zabezpieczeń z Azure Policy, zasad Microsoft Defender dla Chmury (Defender dla Chmury) i oceny bezpiecznego wyniku, a także rejestrować i monitorować wszystkie zasoby w jednym miejscu. Poniżej przedstawiono kilka czynności, które należy podjąć, aby rozpocząć.

Implementowanie usługi Azure Arc (wersja zapoznawcza)

Usługa Azure Arc umożliwia organizacjom rozszerzenie znanych mechanizmów kontroli zabezpieczeń platformy Azure na środowisko lokalne i krawędź infrastruktury organizacji. Administratorzy mają kilka opcji łączenia zasobów lokalnych z usługą Azure Arc. Należą do nich: Azure Portal, PowerShell i Windows Installation with Service Principal scripting.

Dowiedz się więcej o tych technikach.

Stosowanie planów bazowych zabezpieczeń za pośrednictwem Azure Policy, w tym stosowania zasad gościa

Włączenie Defender dla Chmury Standard umożliwi włączenie zestawu kontrolek planu bazowego za pośrednictwem Azure Policy przez uwzględnienie Azure Policy wbudowanych definicji zasad dla Microsoft Defender dla Chmury. Zestaw zasad planu bazowego zostanie odzwierciedlony w Defender dla Chmury bezpieczny wynik, w którym możesz zmierzyć zgodność z tymi zasadami.

Jeśli wbudowane zasady nie są dostępne, możesz rozszerzyć zakres zasad poza Defender dla Chmury i utworzyć zasady niestandardowe. Możesz także włączyć zasady konfiguracji gościa , które będą mierzyć zgodność z maszynami wirtualnymi gości w ramach subskrypcji.

Stosowanie kontrolek zarządzania Defender dla Chmury Endpoint Protection i lukami w zabezpieczeniach

Ochrona punktu końcowego ma zasadnicze znaczenie dla zapewnienia bezpieczeństwa i dostępności infrastruktury. W ramach każdej strategii ochrony punktu końcowego i zarządzanie lukami w zabezpieczeniach będzie można mierzyć zgodność centralnie w celu zapewnienia włączenia i skonfigurowania ochrony przed złośliwym oprogramowaniem za pośrednictwem oceny ochrony punktu końcowego i zaleceń w Microsoft Defender dla Chmury.

Scentralizowana widoczność planu bazowego w wielu subskrypcjach

Stosując rolkę czytnika dzierżawy, możesz uzyskać widoczność w całej dzierżawie stanu poszczególnych zasad, które są oceniane jako część Defender dla Chmury bezpiecznego wyniku, Azure Policy i zasad konfiguracji gości. Kierujesz to do twojego pulpitu nawigacyjnego zgodności organizacji w celu centralnego raportowania stanu dzierżawy.

Ponadto, w ramach Defender dla Chmury Standard, można używać zasad Włączanie wbudowanego rozwiązania do oceny luk w zabezpieczeniach na maszynach wirtualnych (obsługiwanego przez firmę Qualys), aby skanować maszyny wirtualne w poszukiwaniu luk w zabezpieczeniach i odzwierciedlać je bezpośrednio w Defender dla Chmury. Jeśli w przedsiębiorstwie wdrożono już rozwiązanie do skanowania luk w zabezpieczeniach, możesz użyć alternatywnego rozwiązania do oceny luk w zabezpieczeniach, które powinno zostać zainstalowane na maszynach wirtualnych w celu wdrożenia rozwiązania do skanowania luk partnera.




Checklist icon with one checkmark.

Początkowe cele wdrożenia

Po spełnieniu podstawowych celów w zakresie infrastruktury możesz skoncentrować się na wdrażaniu nowoczesnej infrastruktury za pomocą kompleksowej strategii Zero Trust.

I. Obciążenia są monitorowane i ostrzegane o nietypowym zachowaniu

Podczas tworzenia nowej infrastruktury należy również ustanowić reguły monitorowania i podnoszenia alertów. Jest to klucz do określenia, kiedy zasób wyświetla nieoczekiwane zachowanie.

Zdecydowanie zalecane jest włączenie Microsoft Defender dla Chmury z warstwą standardową (Defender dla Chmury) z uwzględnieniem odpowiednich pakietów obejmujących różne zasoby (np. Container Registry, Kubernetes, IoT, Virtual Machines itp.).

W przypadku monitorowania tożsamości zalecamy włączenie Microsoft Defender for Identity i zaawansowanej analizy zagrożeń, aby umożliwić zbieranie sygnału w celu identyfikowania, wykrywania i badania zaawansowanych zagrożeń, zaatakowanych tożsamości i złośliwych akcji niejawnego programu testów skierowanych do Twojej organizacji.

Zintegrowanie tych sygnałów z usługi Defender dla Chmury, usługi Defender for Identity, zaawansowanej analizy zagrożeń oraz innych systemów monitorowania i inspekcji z firmą Microsoft Sentinel, natywnym w chmurze rozwiązaniem do zarządzania zdarzeniami informacji o zabezpieczeniach (SIEM) i automatyczną reakcją aranżacji zabezpieczeń (SOAR) umożliwi Twojemu Centrum operacji zabezpieczeń (SOC) pracę z jednego okienka szkła w celu monitorowania zdarzeń zabezpieczeń w przedsiębiorstwie.

II. Do każdego obciążenia pracą przypisywana jest tożsamość aplikacji, która jest konfigurowana i wdrażana spójnie

Firma Microsoft zaleca klientom korzystanie z zasad przypisywanych i wymuszanych podczas tworzenia zasobów/obciążeń. Zasady mogą wymagać stosowania tagów do zasobu podczas tworzenia, przypisywania grup zasobów, a także ograniczania/bezpośrednich cech technicznych, takich jak dozwolone regiony, specyfikacje maszyn wirtualnych (np. typ maszyny wirtualnej, dyski, zastosowane zasady sieciowe).

III. Dostęp człowieka do zasobów wymaga just-in-time

Personel powinien oszczędnie korzystać z dostępu administracyjnego. Gdy wymagane są funkcje administracyjne, użytkownicy powinni otrzymać tymczasowy dostęp administracyjny.

Organizacje powinny ustanowić program Ochrona administratora . Cechy tych programów obejmują:

  • Ukierunkowane zmniejszenie liczby użytkowników z uprawnieniami administracyjnymi.
  • Inspekcja kont i ról z podwyższonym poziomem uprawnień.
  • Tworzenie stref infrastruktury specjalnego High-Value zasobu (HVA) w celu zmniejszenia powierzchni.
  • Udzielanie administratorom specjalnych bezpiecznych stacji roboczych administratorów (SAWs) w celu zmniejszenia prawdopodobieństwa kradzieży poświadczeń.

Wszystkie te elementy ułatwiają organizacji zapoznanie się z korzystaniem z uprawnień administracyjnych, gdy uprawnienia te są nadal konieczne, oraz zawierają przewodnik dotyczący bezpieczniejszego działania.




Checklist icon with two checkmarks.

Dodatkowe cele wdrożenia

Po osiągnięciu pierwszych trzech celów możesz skupić się na dodatkowych celach, takich jak blokowanie nieautoryzowanych wdrożeń.

IV. Nieautoryzowane wdrożenia są blokowane i są wyzwalane alerty

Gdy organizacje przechodzą do chmury, możliwości są nieograniczone. To nie zawsze dobrze. Z różnych powodów organizacje muszą mieć możliwość blokowania nieautoryzowanych wdrożeń i wyzwalania alertów, aby liderzy i menedżerowie byli świadomi tych problemów.

Microsoft Azure oferuje plany platformy Azure do zarządzania sposobem wdrażania zasobów, zapewniając możliwość wdrożenia tylko zatwierdzonych zasobów (np. szablonów ARM). Plany mogą zagwarantować, że zasoby, które nie spełniają zasad planu lub innych reguł, zostaną zablokowane do wdrożenia. Rzeczywiste lub próby naruszenia blueprint może podnieść alerty w razie potrzeby i tworzyć powiadomienia, aktywować webhooks lub runbooks automatyzacji, a nawet tworzyć bilety zarządzania usługami.

V. Szczegółowa widoczność i kontrola dostępu są dostępne dla różnych obciążeń

Microsoft Azure oferuje różne metody, aby zapewnić widoczność zasobów. W portalu Azure Właściciele zasobów mogą skonfigurować wiele funkcji zbierania i analizy danych oraz dzienników. Ta widoczność może być używana nie tylko do operacji zabezpieczeń strumieniowych, ale także do wspierania wydajności obliczeniowej i celów organizacyjnych. Należą do nich funkcje, takie jak zestawy skalowania maszyn wirtualnych, które umożliwiają bezpieczne i wydajne skalowanie zasobów na podstawie metryk.

Po stronie kontroli dostępu można stosować Access Control opartą na rolach (RBAC) do przypisywania uprawnień do zasobów. Pozwala to na jednorodne przypisywanie i odwoływanie uprawnień na poziomie poszczególnych i grup przy użyciu różnych ról wbudowanych lub niestandardowych.

VI. Dostęp użytkowników i zasobów podzielony na segmenty dla każdego obciążenia pracą

Microsoft Azure oferuje wiele sposobów segmentowania obciążeń w celu zarządzania dostępem użytkowników i zasobów. Segmentacja sieci to podejście ogólne, a na platformie Azure zasoby można wyodrębnić na poziomie subskrypcji z sieciami wirtualnymi (VNets), regułami komunikacji równorzędnej sieci wirtualnej, grupami zabezpieczeń sieci (NSG), grupami zabezpieczeń aplikacji (ASG) i zaporami platformy Azure. Istnieje kilka wzorców projektowania, aby określić najlepsze podejście do obciążeń segmentowania.

Produkty objęte tym przewodnikiem

Microsoft Azure

Plany platformy Azure

Azure Policy

Azure Arc

Microsoft Defender dla Chmury

Microsoft Sentinel

Szablony platformy Azure Resource Manager (ARM)

Wniosku

Infrastruktura ma kluczowe znaczenie dla udanej strategii Zero Trust. Aby uzyskać więcej informacji lub pomóc w implementacji, skontaktuj się z zespołem ds. sukcesu klienta lub przeczytaj pozostałe rozdziały tego przewodnika, które obejmują wszystkie Zero Trust filary.



Seria przewodników po wdrażaniu Zero Trust

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration